CVE-2026-4083 in Scoreboard for HTML5 Games Lite Plugininfo

Zusammenfassung

von VulDB • 31.05.2026

Das WordPress-Plugin „Scoreboard for HTML5 Games Lite“ ist in allen Versionen bis einschließlich 1.2 anfällig für Stored Cross-Site Scripting (XSS) über das Shortcode-Element „scoreboard“. Die Shortcode-Funktion `sfhg_shortcode()` ermöglicht das Hinzufügen beliebiger HTML-Attribute zum gerenderten `<iframe>`-Element, wobei nur eine kleine Blacklist von vier Attributnamen (same_height_as, onload, onpageshow, onclick) blockiert wird. Obwohl die Attributnamen durch `esc_html()` und die Werte durch `esc_attr()` maskiert werden, wird dies die Injektion von JavaScript-Event-Handler-Attributen wie onfocus, onmouseover, onmouseenter usw. nicht verhindern, da diese Attributnamen und einfache JavaScript-Payloads keine Zeichen enthalten, die von diesen Maskierungsfunktionen verändert würden. Der Shortcode-Text wird in `post_content` gespeichert und erst zur Renderzeit in HTML erweitert, nachdem das kses-Filtering von WordPress bereits auf den rohen Post-Inhalt angewendet wurde. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, beliebige Web-Skripte in Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer eine injizierte Seite aufruft.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

12.03.2026

Veröffentlichung

21.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352295

CPE

bereit

EPSS

0.00063

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4083
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4083
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4083/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!